Im groben fragt es dich nach deinen Anmeldedaten für FB und erstellt dadurch eine lokale Version der Anmelde-HP von FB. Diese Daten werden dann an FB geschickt. Ich habe es jetzt aber auch nicht zu 100% geprüft, aber es sollte nicht wirklich was schlimmes sein (ohne Garantie).
Ein großes Sicherheitsrisiko besteht darin dass bei der Eingabe deines Passworts alle mitlesen können, da nicht solche Symbole erscheinen, sondern eben die wirklich eingegebenen Zeichen. Zusätzlich ist in der Datei facebook2.html dann dein PW ohne irgendwelcher Verschlüsselung hinterlegt. Somit kann das dort jeder lesen, der Zugriff zu deinem Rechner hat.
Aber wer ist schon so doof und meldet sich in einem schwarzen Fenster mit weißem Text bei FB an? Wer sowas macht, gibt überall seine Logindaten an, bei solchen Leuten kannst gleich einen Fakeserver aufstellen und den Link dazu weiter verschicken
.